Gehacked door turkse hackers groep.

Ik hoop dat iemand mij kan helpen, vannacht is de website www.spelsteen.nl aangevallen door een turkse hackers groep. Vanochtend kon ik gelukkig een backup draaien (was een week oud) via de backend. Alle update nagelopen en geïnstalleerd.

Helaas hebben ze de site nu weer te pakken gehad! Nu kom ik ook niet meer in de backend... Nou lukt het waarschijnlijk wel om de backup van vanmiddag terug te zetten maar dan slaan ze waarschijnlijk weer toe.

Kan iemand advies geven om dit te voorkomen? heeft iemand anders er ook ervaringen mee?

Onderstaande melding geeft hij aan bij het scannen van de site:

Security warning in the URL:
www.spelsteen.nl
Web site defaced.
Details: sucuri.net/malware/entry/MW:DEFACED:01
<title>Hacked 1923Turk Grup - Ecarter65 </title>

Edit Jelle. Ik heb de titel van je topic aangepast omdat de oude titel (Help) niets toevoegt.

Hallo,

Namens het Joomla!NL team heet ik je van harte welkom op dit forum.

Ga als volgt te werk:

1. Zorg ervoor dat je PC helemaal schoon is, deze is namelijk in veel gevallen de bron van de besmetting.
2. Zet een schone backup terug als je die nog hebt. Zo niet vervang alle geïnfecteerde bestanden. Kun je zien aan datum en tijdstip wijziging.
3. Upgrade Joomla en alle extensies naar de laatste versie.
4. Controleer de map (755) en bestand (644) rechten.
5. Wijzig alle wachtwoorden (Joomla/FTP/mySQL)
6. Maak een nieuwe backup

Hallo,

Bedankt, punt 1-4 hadden we al toegepast maar heel stom hebben we geen nieuwe wachtwoorden aangemaakt. Ook is het zo dat als ik nu kijk bij FTP naar wijzigingen van bestanden (tijd/datum) is er niks gewijzigd t.a.v. vanochtend, zou dat betekenen dat de back-up die we hebben gebruikt vanochtend al geïnfecteerd zou moeten zijn?

Kijk je backup eens na of die schoon is.

Volgens de scanner en het handmatig nalopen moet hij schoon zijn.

Ga nu een poging wagen om de back up terug te zetten en de wachtwoorden te wijzigen.

Prima,

En informeer je host ook even, in het verleden werden ook servers besmet.

Inmiddels hebben we zelf al een bericht gehad van onze host dat onze website 'Suspended' is. ivm multiple hack files. en dat onze joomla out of date was 1.6.0 terwijl we op 2.5 draaien(?).
Nu kunnen we helaas niets meer... Hebben al een mail naar de host gestuurd, misschien kunnen die ons helpen.

Iemand anders nog ideen???

Dan wordt het moeilijk om een oplossing te geven denk ik.
En zal je dit met je host moeten oplossen.

Ideeën......haal er een expert bij! Is dat een optie?

Je kunt echter ook als volgt te werk gaan:

1. Maak een backup van alles wat op je host staat.
2. Installeer Joomla en alle extensies die je in je originele site gebruikt hebt op een site.
3. Maak ook hier een backup van.
4. Pak beide backups uit in een andere map op je bureaublad.
5. Download en installeer Winmerge op je PC
6. Vergelijk beide mappen met elkaar in Winmerge.
7. Onderzoek de verschillen die je vindt en los de problemen op.

Het zal waarschijnlijk een aardige puzzel worden.

Joomla 1.6 had een CSRF lek. Dus zo'n beetje alles kan zijn gedaan met jouw website.

Gezien er een exploit publiekelijk beschikbaar is voor het aanmaken van een super user account zou ik de database verkennen naar onbekende users en dan een schone 1.6 versie downloaden en van daaruit upgraden.
Edit Astrid: Dit antwoord is niet van toepassing op de gestelde vraag.